Güvenlik kahvesinin bu haftaki konuğu Mehmet Cüneyt ÜVEY. Kendisi ile hem kendisi hakkında hem de güvenlik dünyası hakkında konuştuk.
1) Kısaca kendinizden bahsedebilir misiniz?
Öncelikle merhabalar ve bu röportaj fırsatını bana tanıdığınız için çok teşekkür ederim.
Küçük yaşlarda babamın yönetici olarak görev aldığı büyük bir bankanın taşradaki muhtelif şubelerinde daktiloları bozmak, Facit marka hesap makinelerini kilitlemek, arkasına yazı geçirmeyen 5/6 nüshalık dekontların arasına karbon kağıdı koymak, hesap kartonlarını dizmek, verilen torbalar dolusu bozuk paraları saymak ve akşam 5’ten sonra ortalığı birbirine katmak gibi görevlerle iş hayatına kurumsal bir firmada girmiş bulundum.
Kendimi bildim bileli şakayla karışık çalışıyorum. Tanıdıkların yanında kırtasiyecilerde ve eczanelerde çıraklık, diş hekiminin yanında asistanlık, ehliyetim olmadığı yaşlarda boş alanlarda bir tur atabilmek için oto yıkamacılık, üniversite yıllarında turistik bölgelerde bankalarda stajlar ve hafta sonları turistleri İstanbul’a getirerek hanutçuluk vb. işler yapma fırsatım oldu. Adeta kriptolanmış doktor yazıları ve ilaç isimleri okuma başta olmak üzere, fiyat etiketleme, döviz, plastik kartlar ve yabancı para çeklerle ilgili emniyet tedbirleri, kurumların ilk otomasyona geçme sancıları, ticari sır, vb. bilgi güvenliği ile ilgili bir çok konuda ufak yaşlarda gözlem yapma ve tecrübe edinme şansım oldu.
Resmi olarak ise, 21 yıldır çalışıyorum. Tarsus Amerikan Koleji, ODTÜ Kamu Yönetimi, T.C. Ziraat Bankası Bankacılık Okulu, Bloomsburg University of Pennsylvania – MBA Programı gibi yerlerden mezunum. Türkiye’de belli konularda denk geldi, hep ilklerden biri olma fırsatım oldu. Proje Yönetimi (PMP), Bilgi Sistemleri Denetimi (CISA), Bilgi Güvenliği Yönetimi (CISM), Bilgi Teknolojileri Yönetişimi (CGEIT) ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi Baş Tetkikçisi sertifikalarının ilk sahipleri ve uygulayıcıları arasında olma şansım oldu.
Üniversite biter bitmez o yıl rahmetli Turgut Özal ve Sn. Coşkun Ulusoy’un Genel Müdürlüğü sırasında açılan Bankacılık Okulu’nun ilk dönem mezunu olarak bir yıl T.C. Ziraat Bankası Menkul Değerler’de çalıştıktan sonra, Yapı Kredi Bankası’nda Teftiş Kurulu Başkanlığı’nda Müfettiş Yardımcılığı’na geçiş yaptım. Bankanın (YKB) muhtelif şube ve birimlerinin denetiminde iki yıl kadar rol aldıktan sonra Amerika’ya giderek master programını tamamlamak için ücretsiz izin aldım. İlk iki yılım içerisinde iyi bir eğitim süreci geçirdim. Hatta elimde 1992 tarihli bir eğitim sertifikası var ki, bugün incelendiğinde inanması çok zor. Sertifikanın üzerinde, adımın hemen altında 5 gün süren bir “Bilgi İşlem Emniyeti ve Teftişi” eğitimi almış ve başarıyla tamamlamıştır yazıyor. İlk 2 yılım içerisinde şubelerde üstadlardan fırsat buldukça sisteme bir kaç kez girdim. Enteresandır ama, tesadüfen çok büyük bir güvenlik açığı bulup bunu kurula özel bir yazı ile raporlayıp, sonucunu da takip edince, iki maaş ikramiye ile ödüllendirildiğimi hatırlıyorum.
Amerika’da okurken eğitmenlik, asistanlık, zeka veya bedensel özürlü öğrencilerin yanında veya yerlerine derslere girerek not tutma veya ders notlarını görmeyen öğrenciler için kayıt cihazlarına aktarma, barlarda bodyguard’lık ve ev arkadaşlarımla birlikte eski mobilya alım satımı ve çim biçme dahil, aynı anda 4-5 farklı part-time işte çalıştım. Bu sayede belki de aynı anda birkaç işi yapma yeteneğim gelişti ve hatta MBA yaparken, başkasının yerine “oşinografi” dersi bile almış bulundum.
Döndükten hemen sonra da, YKB’de eski görevime devam etmeyi beklerken, birkaç ay içerisinde bir baktım ki teknoloji ile ilgili işlere girişmişim. Teftiş Kurulu ilk defa bir elemanını Bilgi Teknololeri ile ilgili konularda görevlendirmişti. 90’lı yılların ortalarında YKB’nin ilerlemesinde büyük payı olan bir değişim programında ve uluslararası danışmanların destek verdiği muhtelif projelerde çalışırken buldum kendimi.
Derken projelerin tümünün merkezi olarak yönetildiği ve koordine edildiği Program Yönetimi birimlerinde, arkasından Yapı Kredi’yi o günlerde çok üste seviyelere taşıyan Alternatif Dağıtım Kanalları’nın kurulmasında ve sonrasında tüm bankanın sistem ve uygulamalarının 2000 yılına dönüşüm (Y2K) Programı’nda belli yönetsel görevler aldım.
Önceleri denetim alanında çalışmalar gerçekleştirirken, zamanla bilgi teknolojileri ile ilgili işlerde yine denetim nosyonunun kazandırdığı tecrübeyi geliştirme, genişletme ve kullanma şansına sahip oldum. Öğrenme süreci açısından iki başlı ve o yıllar için çok farklı, başkalarının ise, “ne işin var oralarda?” veya “niye klasik müfettişlik kariyer yolunu izlemiyorsun?” dediği bir yol izlemiş oldum.
Kısa sürede yönetici olarak ilerleme yolu müfettişler için “şube kariyer yolu” şeklinde önceden tanımlıyken, ben daha önceden tanımlı olmayan, örneği bulunmayan ve farklı iki ayrı disiplini bir arada yürütmeye çalıştığım için buralardan nereye ve nasıl gidileceğini bilmediğim bir yola girmiştim. Kimi zaman çok zorluk çektiğimi hatırlıyorum. Benimle birlikte ve sonrasında işe giren arkadaşlarıma baktığımda, müdür olmakta çok geciktiğimi düşündüğüm oluyordu ve üzülüyordum. Her şeyin bir sırası, her görevin ve çalışmanın bir kazancı ve kattığı değer varmış. Şimdi geriye baktığımda, uzun vadede gerçekten kazandıran ve bana danışman olma yolu açabilecek kadar kalıcı ve sağlam olan bir yol izlemişim.
Y2K çalışmalarının hemen sonrasında, Yapı Kredi’nin Teftiş Kurulu Başkanlığı ile YKB Teknoloji Yönetimi’ni bir araya getirerek “Bilgi Teknolojileri Denetimi Fonksiyonu’nun Kuruluşu ve CobiT Uygulama Proje Yöneticisi” görevini yürüterek iki farklı alandaki tecrübelerimi tek başlık altında toplama şansım oldu. Ülkemizdeki ilk CobiT Uygulaması’nı 550 kişilik bir BT Organizasyonu üzerinde gerçekleştirme fırsatını yakalamış oldum.
Bu proje, iş hayatımda çok önemli bir dönüm noktası oldu. Düşünebiliyor musunuz, şu an 5.0 versiyonunun çıkması beklenen CobiT’le ilk tanıştığımda daha 2.0 versiyonundaydı, dünyada bile yeni yeni biliniyordu. Bizim projeden önce CobiT 3.0 çıkmak üzereydi. Danışmanlık almak için araştırıyoruz. CobiT’i yazan farklı ülkelerden 6 kişilik bir ekip var. Bu ekipten iki kişiyi birbirlerinden habersiz bir şekilde aynı gün ülkemize davet edip, biriyle sabah, diğeriyle öğleden sonra görüşüyoruz. Proje kurgusunu, planlarımızı ve beklediğimiz çıktıları, hazırlık çalışmalarımızı paylaşıyoruz ve her iki kişi de çok heyecanlanarak bu proje tüm dünyaya örnek olacak çapta büyük bir proje olacak ve içerisinde mutlaka ben de rol almak istiyorum diyorlar. Ama ikisi de farklı firmalardan. Proje hem çap, hem CobiT 3.0’ın ilk kez uygulanması, hem de böyle bir işin tam 10 yıl önce Türkiye gibi hızlı gelişen bir ülkede ilk kez yürütülecek olması nedeniyle birkaç ilki bir arada gerçekleştirmeye aday olduğundan dikkat çekiciliği ve önemi büyük bir çalışma olarak nitelendirilmekteydi. Bu sayede danışman firmaların projeyi yerine getirmek için sıkı bir rekabet havası içerisine girmiş olmaları da gayet doğaldı. Velhasıl, projeyi büyük bir heyecanla ve çok çalışkan bir ekiple gerçekleştirdik, büyük bir başarıyla tamamlandı. Yapı Kredi Teftiş Kurulu BT Denetimi yapabilir, Yapı Kredi Teknoloji Yönetimi ise, süreçlerinin uluslar arası standartlara ve olası BT Denetimleri’ndeki yaklaşımlara göre eksiklerinin ve risklerinin neler olduğunun farkına varmış bir hale geldi. Tabii iyileştirilebilir alanların neler olacağı ve öncelikler de ortaya koyulmuş oldu. Teftiş Kurulu’nun 3 yıllık BT Denetim Programı da bir proje ürünü olarak hazırlandı, BT süreçlerinin gelişimini belli öncelikler doğrultusunda tetikler bir yapıya kavuşulmuş oldu.
Bu çalışma sonrasında da Yapı Kredi Teknoloji Yönetimi’nin CobiT’e uyumu yönündeki faaliyetlerini yönetmek ve kurumsallaşma açısından gelişimine liderlik edebilmek amacıyla Teknoloji Risk Yönetimi biriminin kuruluşunu gerçekleştirdim. 4-5 yıl kadar bu alanda görev aldım, ekibimle beraber dış denetimlerin haricinde kurumun içerisinde tüm IT süreçlerini ve tüm projeleri, yurtdışı iştirakler de dahil olmak üzere denetledim, süreçlerin olgunlaşması yönünde çok farklı alanlarda değişik çalışmalar yaptım. Koçbank-Yapı Kredi birleşmesi kararı alınana kadar da Yapı Kredi’nin tüm teknoloji süreçleri ve teknoloji bağlantılı iş süreçlerinin risklerinin yönetimi sorumluğunu yürüttüm.
Bu sıralarda patlak veren İmar Bankası olayı ve buna karşın BDDK’nın Bilgi Sistemleri’nin Denetimi hakkında getirdiği düzenlemeler, yeni bir mesleğin ülkemizde yerleşeceğinin sinyallerini vermeye başladı. Ben bu işleri özellikle CobiT açısından epey zamandır yürüttüğümden, gerek Bankalar Birliği bünyesinde bütün bankalardaki meslektaşlarımla, gerekse birçok seminer ve sempozyumda konu ile ilgili bildiklerimi paylaşma ve hatta BT Denetimi alanında çalışmak isteyenler için CISA sertifikasyonuna hazırlık amaçlı eğitimler düzenleme ve ISACA İstanbul Chapter’ındaki arkadaşlarımla birlikte sunma fırsatı bulmuş oldum.
Yapı Kredi’deki son yılımda birleşmenin fiili olarak gerçekleşmesi öncesinde, Koç Holding bünyesindeki tüm firma ve kurumların Bilgi Teknolojileri Yöneticileri’nin her ay toplanarak Koç Grubu’nun BT Stratejisi’ni belirledikleri ve holding yönetimi seviyesinde merkezi sinerjinin yaratıldığı BT Kurulu’nda Yapı Kredi’yi temsil etme şansına sahip oldum.
Birleşmenin olduğu tarihlerde ise, Ankara’ya taşınmış, artık T.C. Maliye Bakanlığı Strateji Geliştirme Başkanlığı’na BT Stratejik Yönetimi ve Yönetim Bilgi Sistemleri konularında hizmet veren bir danışman olmuştum. Sonrasında PTT’nin “Posta, Lojistik, Bankacılık” misyonu doğrultusunda “PTT Pazar Araştırması ve Stratejik Planlama” projesinin ilk aşamasını Alman ve İngiliz Posta Teşkilatları’nın 30-35 yıl tecrübeye sahip eski üst düzey yöneticilerinin de dahil olduğu profesyonel bir ekibi yöneterek, projenin can alıcı kısmını tamamladım. Ülkemizde Aktif İstihdamın geliştirilmesi hedefli bir AB Projesi kapsamında “İŞKUR Web Portalı, İş Süreçleri ve IT Altyapısı’nın Denetimi” çalışmasından sonra da Türk Eximbank’ta “CobiT Uygulama Projesi’ni” başlattım ve yürütmeye devam ediyorum. Çok yakında bir savunma sektörü firmasında “Bilgi Güvenliği Kurumsal Yönetimi ve 27001 Uyumu” Projesi’ne başlamış olacağım.
Son 6 yıldır ODTÜ’de, ilk 4 yılı Enformatik Enstitüsü, son iki yıldır da Teknoloji Politikaları Programı olmak üzere “BT Kurumsal Yönetimi ve Denetimi” konusunda içeriğini kendim oluşturduğum ve ülkemizdeki ilklerden yine birini daha gerçekleştirme fırsatını bulduğum “IT Governance” adlı yüksek lisans düzeyindeki dersimi sunmaya devam ediyorum. Bu dersi geçmişte İstanbul Ticaret Üniversitesi, Sabancı Üniversitesi ve Bilkent Üniversitesi’nde de sunma fırsatım oldu. Bu sayede mesleki tecrübelerimi genç arkadaşlarıma aktarmaktan çok büyük keyif alıyorum. Ayrıca gençlerle birlikte zaman geçirme, onlarla bir ağabey gibi paylaşımda bulunma ve bir anlamda da genç kalabilme fırsatını da sonuna kadar kullanmaya çalışıyor, yemekler düzenleyerek, fasıl veya piknik gibi türlü aktiviteler yaparak bu beraberliği iş ve okul hayatının dışına doğru da esnetmeye devam ediyorum.
Bilgi Sistemleri Denetimi konusunda dünyadaki en yaygın kuruluş olan ISACA’nın İstanbul Chapter’ının kurucu üyeleri arasındayım. Bu yıl da buradaki ISACA üyeleri ve özellikle kamu kurumlarının da temsil edildiği tecrübeli arkadaşlarımla birlikte uyumlu bir kurucu ekip oluşturduk, Ankara Chapter’ının kuruluşu için başvurumuzu yaptık. Umuyorum ki İstanbul’da yıllar süren çabalar sonucunda kurabildiğimiz Chapter’ın, Ankara’da daha kısa bir zaman içerisinde kuruluşunu ve çalışmalarını hep birlikte görebileceğiz.
2) Güvenlik işine nasıl bulaştınız?
Güvenlik konusuna önce bir denetçi gözüyle eğitimini alarak, sonra bazı konularda açıklar bularak ve akabinde de Bilgi Sistemleri Denetimi ile ilgili kurumsallaşma faaliyetlerini yürüterek girmiş bulundum. Özellikle Teknoloji Risk Yönetimi ile ilgili görevimde, sürekli olarak ISO 27001’i bir değerlendirme kriterleri listesi olarak kullanmış, kurumun, süreçlerinin ve projelerinin güvenlik konusundaki durumunu ve güvenlikle ilgili risklerini denetimler yaparak tespit edip, bu risklere karşın önlemlerin alınması yönünde koordine edici çalışmalarda bulunmuştum. Zaten baktığınızda güvenlik riskleri, teknoloji risklerinin en görünür ve anlaşılabilir olanları arasında ön plana çıkar, kurumun itibarını yüksek düzeyde etkileyebilecek unsurlardır.
Özellikle Alternatif Dağıtım Kanalları’nın ülkemizde geliştiği ilk zamanlarda Yapı Kredi’nin o zamanki internet bankacılığı sistemi olan Teleweb’in Amerikan Mali Müşavirleri Enstitüsü AICPA’nin (American Institute of Chartered Public Accountants) uzmanları tarafından denetlenerek WebTrust Sertifikasyonu’nu edinme projesini yönetmem ile güvenlik nosyonuna daha detaylı hakim olma fırsatım oldu. Proje dünyada bir ilki gerçekleştirerek, bir kurumun 5 farklı güvenlik alanında yapılan detaylı değerlendirmelerin hepsinden birden geçmesi ile sonuçlandı. O tarihe kadar hiçbir kurumda 5’te 5 sonuç alınamamıştı.
Bunun dışında Yapı Kredi’nin IT hizmetleri sunduğu YKB Nederland’ın CobiT ve ISO27001 açısından denetimlerini her yıl gerçekleştirerek, raporları Hollanda Merkez Bankası’na (DNB) sunduk. Raporların kabul görmesi ve YKB Nederland’ın IT hizmetlerinin gelişimine katkıda bulunmak hem keyifli bir çalışma, hem de uluslar arası standartlarda iş yapıyor olduğumuzun bir diğer göstergesi olmuştu.
YKB’nin tüm sistem ve bilgi teknolojileri alanında yapılan her türlü dış denetimlere hazır tutulması, özellikle kredi kartları başvuru, değerlendirme, basım ve dağıtım süreçleri, ATM ve POS işlemlerinin VISA, MasterCard, Europay, BBB, sigorta firmaları, bağımsız denetim firmaları vb. tarafından denetlenmesi sırasında koordinasyon çalışmalarını yürütmek ve bu çalışmalar yapılmadan önce riskleri tespit edip denetimlerden başarılı geçmek çok keyifli ve tatmin edici iş sonuçları idi.
Bir diğer ilginç çalışma da şu an bir çok yerde karşımıza çıkan cep telefonu ve/veya kredi kartı ile alışveriş yapılan soğuk kutu içecek makinelerinin güvenlik denetimi idi. Cihazların o günlerde bir cep telefonu numarası verilerek konumlandırılması, yerin altında metro istasyonu vb. yerlerde telefonların çekmemesi, kart okuyucu birimlerin işleyişi ve kart bilgilerini şifrelemesi gibi enteresan konularda açıklar bulup çözüm önerileri ile kurumun tüm teknoloji bağlantılı ürün ve hizmetlerine daha piyasaya sürülmeden katma değer sağlama ve güvenli bir şekilde lansmanını yapma şansımız oldu.
3)Türkiye’de bilgi güvenliği konusunu değerlendirebilir misiniz?
Bu konuda söylenecek ve yapılacak çok şey var ama, öncelikle toplumumuzda edindiğim bazı gözlemleri paylaşmak isterim. Ülkemiz bir Akdeniz ülkesi, insanlarımız samimi ve dostça hareket ediyor. Türk insanı olarak, birkaç saatlik otobüs yolculuğu sırasında bile yanımıza oturanla kimiz, neyiz, ne iş yaparız, adresimiz, telefonumuz, neredeyse her şeyi hem de herkesin duyabileceği şekilde paylaşmayı doğal kabul eden bir yapımız var. Zannedersiniz ki zorla akraba çıkmaya çalışıyoruz. İşin bilinçlenme boyutunu düşünürsek, halkımız ve toplumsal yapımızla tamamen zıt bir konu bilgi güvenliği. Bu ülke Sosyal Mühendislik cenneti adeta diyebiliriz. Eskiden Taksim’de simitçiler ambalaj için bilgisayar çıktısı formları kullanırlardı. Allahtan raporlar sanal ortamda daha rahat tutulmaya başlandı da kimin hangi kurumla ne tür bir ilişkisi var gibi bilgiler, raporlar ve analiz sonuçları simitçiler seviyesinden daha farklı bir ortam ve katmana kaydı.
Gelelim kurumsal boyuta, bu alanda da tabii ki eğitimli ve kurumun varlıklarının değerini ve korunmasının gerektiğinin bilincine varmış yöneticilere çok ihtiyaç var. Ülkemizde bilgi güvenliğinin gelişmesi ve oturması için iki temel yol var. Birincisi “bir musibet” yaşamak, ikincisi de “Devlet baba”. Hal böyleyken, özel sektörde kurumsallaşmaya doğru giden yolculukta, firmalar için kar odaklılık birincil hedef olunca, patronlar bir musibet yaşamadan bu işlere pek el atmıyorlar, ya da gecikiyorlar. Halbuki sürdürülebilirlik diye bir kavram var, gelecekte de kar odaklı hareket edebilmek için kurumun varlıklarını, insanlardan başlayarak koruma bilinci oluşmalı. Bu varlıklar arasında bilgi varlıklarının neler olduğunun tespiti, bilginin ve bilgiyi işleyen ve taşıyan altyapının kesintiye uğraması, açığa çıkması, kaybı veya zarara uğraması durumunda ne tür zorluklarla karşılaşılabileceği önceden kestirilmesi ve önlemler alınması gereken hususlar.
Geçen gün yakın bir tanıdığımın görev aldığı çok büyük ve başarılı bir gıda zinciri firmasının bayram boyunca bayi ağı ile arasındaki sipariş ve stok takip işlemlerini gerçekleştirdiği tüm bağlantının hiç haber verilmeden kesintiye uğratılmış olduğu haberi ile irkildim. Herkes tatilde, kimseye ulaşılamıyor, bayiler özellikle bayram dolayısıyla katlanan tüketime karşın sipariş geçemiyor, üretim nereye ne göndereceğini bilemiyor, lojistik kilitleniyor. Maalesef çok ciddi boyutta kayıplara gebe bir çok kurum var. Yabancı sermayeli kurumlar ise, bilgi güvenliği açısından yerel firmalara göre birkaç adım ilerde olabiliyorlar. Tabi oldukları ülkelerin veya sermaye piyasalarının getirdiği yasal düzenlemeler (SOX, vb.) daha gelişmiş ve uygulanır düzeyde.
Devlet boyutuna gelince, tabii ki bazı olumlu gelişmeler var. Ama geçmişe bakınca yine musibet kökenli. Bankaların bilgi sistemlerinin denetimi İmar Bankası olayı ile gündeme geldi. İştirak niteliğinde kuruluşlar da bu kapsamda BDDK tarafından ele alınıyor. Telekomünikasyon sektöründe de enteresan ve olumlu yönde gelişmeler var. Ancak bilgi işlemin entegre olduğu tüm sektörlerde de düzenlemelere gereksinim olduğunu düşünüyorum. Örneğin, e-devlet çalışmalarının ve kamunun tümünün elden geçmesi ve belli kurallar bütünü içerisinde standardize edilmesi, denetlenmesi işin çok önemli ve büyük bir boyutu.
Bilişim sektörü başta olmak üzere, sigorta sektörü, iletişim – telekomünikasyon sektörü, sağlık sektörü, eğitim sektörü, savunma sektörü, gıda sektörü, ilaç sektörü, otomotiv sektörü, hava taşımacılığı, lojistik, vb. başta olmak üzere kısacası tüm sektörlerin esas kabul edeceği ve uymaları zorunlu bir çok farklı düzenlemeye gereksinimler var. Ancak her şeyin başında, temel olarak süreç yönetimi çalışmaları geliyor. Süreç yaklaşımını anlamak, iş süreçleri ve bu süreçleri destekleyen bilgi varlıklarını girdi, işlenen ve çıktı olarak analiz etmek ilk başlangıç noktası olmalı. Ne yazık ki bu işler aşağıdan yukarıya değil, yukarıdan aşağıya doğru giden bir yaklaşım ile yerine getirilebilen çalışmalar. Bu alanda uzmanlaşmaya giden genç arkadaşlarımız, konum olarak daha üst seviyelere gelmeyi beklemek durumundalar. O nedenle, kamu ve/veya özel sektörde ileriye yönelik yapısal düzenlemeler proaktif olmadıkça, gelişmeler maalesef musibet kökenli kalmak durumunda.
4)Türkiye’de yerli güvenlik yazılımı üretimi için görüş ve önerileriniz nelerdir?
Bu konuda genelgeçer şeyler söylemek istemiyorum. Güvenlik yazılımları konusu işin teknik boyutları ve benim spesifik uzmanlık alanım değil. Bu nedenle, evet, tabii ki ülkemizdeki uygun kaynakların tümünün bu alanda yapılacak çalışmalara yönlendirilmesi ve devlet, özel sektör ve akademik alanlarda teşvik edilmesini her şeyden önce bir Türk olarak isterim. Ama, bir evin kapısını penceresini koruma altına alacak bir yaklaşım ve yönetim bilinci olmadıktan sonra, güvenlik yazılımları konusu bana banyodaki duşakabin detayı gibi geliyor. Yani ihtiyacın neler olduğu konusunda büyük resmin ortaya çıkması ve kavranması lazım ki detaylara girilebilsin.
5)Türkiye’de bilgi güvenliği konusunu daha ileri seviyeye taşımak için önerileriniz nelerdir?
Her şeyin başında insan faktörü ve eğitim demek galiba ülkemizdeki bilgi güvenliği konusunu olgun seviyelere taşımak için “kök sebep” nitelikli en kısa cevap olurdu. Ülke genelinde çok olumlu ancak organize olmayan çalışmalar var. Devlet ve özel sektörün, üniversitelerin öncelikle işbirliği içerisinde ve bilinçli olarak hareket etmeleri, elde var olan yetişmiş işgücüne değer vermeleri, yetişmekte olanlara da edinilen birikimlerden yararlanma şansı tanımalarında yarar görüyorum.
Mesela Bilişim ve Teknoloji Bakanlığı kurulması ve/veya Bilgi Güvenliği’nin Milli Güvenlik ve Ülke Savunması’nın önemli bir alt başlığı olarak alınması ve topyekün bir yaklaşım geliştirmek bir başlangıç noktası olabilir. Sonuçta devlet kurumları, özel sektör kurumları, üniversiteler, yabancı sermayeli olsalar da ülkemizde faaliyet gösteren kurumlar ve sivil toplum kuruluşları bu ülkenin varlıklarıdır ve ülkenin genel yaklaşımına uygun hareket edeceklerdir. Yalnız, yanlış anlaşılmasın, yasakçı ve kısıtlayıcı kurallar bütünü ve yukarıdan aşağıya dikte edilen bir yaklaşım demek istemiyorum, ülkenin ve bu alanda faaliyet gösteren kurum ve şahısların önünü açacak, fırsatlardan yararlanacak ve yetişmiş insan gücünü kullanabilecek ilerici, düzenleyici ve sonrasında da denetleyici bir yaklaşımdan bahsediyorum.
Kurumlar bazında konuya bakarsak da, kurumlarda üst yönetim kademeleri içerisinde bilgi güvenliği konusunda yetkin çalışanların yer alması ve bunun zorunlu hale getirilmesi gerekiyormuş gibi geliyor bana. Neden CXO’ların arasında CSO (Chief Security Officer) veya CISO’lar (Chief Information Security
Officer) yok veya sayıları çok az diye düşünmek lazım.
6)Türkiye’de siber güvenlik ile ilgili bir kurumum ihtiyacına inanıyor musunuz?
Bu konuda TR-CERT tarafından yapılan ve özellikle konu ile ilgili profesyonellerin arasında ses getiren çalışmaları izliyorum fakat çok daha yaygın ve ulusal politikaların belirlenebileceği bir yaklaşıma gereksinim olduğunu, toplumun, kurumların ve yöneticilerin BOME’nin (Bilgisayar Olayları Müdahale Ekibi) varlığı ve işlevleri hakkında daha iyi ve yakın bilgilendirilmesinde yarar olduğunu düşünüyorum.
7)Bu işe yeni başlayanlara neler önerirsiniz?
İleri seviyede İngilizce bilgisi, uluslar arası standartları inceleme ve literatüre hakim olma gibi konular mutlaka önemli. Ama çekirdekten yetişme güvenlikçi olmak için, önce çalışılan kurumun iş süreçlerine çok iyi hakim olmak, iş süreçlerinde kullanılan bilgi ve bilgi varlıklarını çok iyi anlamak ve bu varlıklara ilişkin ne tür risklerle karşılaşılabilir sorusunun cevaplarını değişen teknoloji ve iş koşulları içerisinde sürekli olarak verebilmek daha önemli gibi geliyor bana. Önce ihtiyacı belirlemek, sonra çözüm aramak veya geliştirmek daha mantıklı geliyor bana.
Geçmişte teknik kökenli bazı analiz ve denetimler sonucunda elde edilen ve heyecanla çok kritik diye nitelendirilen bazı bulguların, işe olan etkisi dikkate alındığında kolaylıkla göz ardı edilebilir olduğunu da sıklıkla gözlemlemekle beraber; uygun kıvamda teknik, uygun kıvamda da iş odaklı hareket edilmesi sayesinde bilgi güvenliği ile ilgili çok daha yerinde yatırımlar yapılabileceğini düşünüyorum.
8)Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?
Bu konuda hemen size son göz gezdirdiğim kitap ve oradaki 14 temel trendin şekillendirdiği senaryolardan bahsetmek isterim. Kitabın adı “Wireless Foresight: Scenarios of the Mobile World in 2015”. Trendler 2015 yılında Bilgi Güvenliği konusunda konuşulacak hususlarla ilgili çok güzel ipuçları veriyor. Kullanıcıların kendi uygulamalarını geliştirmeleri, kullanıcıların daha da mobil olmaları, hizmet ve uygulama pazarının büyümesi, kullanıcıların mahremiyeti ve bilgi bütünlüğü gereksinimlerinde artış, radyasyon nedeniyle ortaya çıkan veya algılanan sağlık sorunlarına hassasiyetin artması, çevrecilik bilinci ve çevreye verilen önemde artış, mobil teknolojinin gelişme ve yayılma hızı, 3G’nin getirdikleri, İçerik korumanın gittikçe zorlaşması gibi trendler güvenlik dünyasını şekillendirecek yeni veya farklılaşan unsurlar gibi görünüyor.
9)Güvenlik sertifikaları konusuna ne düşünüyorsunuz?
Güvenlik sertifikalarının kanımca çok faydalı olduğunu ve asgari düzeyde yetkinliğin belgelenmesi açısından kariyer gelişiminde önemli olduğunu düşünüyorum. Ancak bu sertifikaların iş bilgisi ve kurumsal tecrübe ile bütünleşmesi, yani sertifikanın hakkını verebilmenin çok daha büyük avantajlar yaratacağı görüşündeyim. Kendi alanımla ilgili olarak sahip olduğum sertifikaların tümünü tavsiye ederim. Ayrıca CISSP de özellikle Bilgi Güvenliği alalında en muteber sertifikalardan biridir.
10)Karşılaştığınız en ciddi/kritik güvenlik problemi nedir?
Bu konuda özellikle büyük maddi kayıplara ve/veya yolsuzluklara sebebiyet verebilecek kritik nitelikli bazı problemlerle, genellikle de daha problem ortaya çıkmadan veya risk gerçekleşmeden işim gereği karşılaşmış olduğumu söyleyebilirim. Bu soruyla ilgili olarak ancak herkesin bildiği ve basına yansıyan problemlerden bahsedilebilir diye düşünüyorum, dilerseniz özel bilgiler bende kalsın.
11)Bilgi güvenliğiyle ilgili en son okuduğunuz kitap hangisidir? Hangi kitap/kitapların okunmasını tavsiye edersiniz?
Yukarıda bahsettim.
12)Bilgi Güvenliği dünyasındaki kahramanınız(örnek aldığınız kişi) kimdir? Hangi özelliğinden dolayı?
Açıkçası bir zamanlar kahramanım Kevin Mitnick idi. Ta ki kendisini şahsen tanıyana kadar. Ülkemize geldiğinde bir konferansta karşılaşmamız ve tekerlekli bavullarıyla birlikte “ne kadar bilinçli olduğunu” göstere göstere tuvalete girdiği ana kadar her şey iyiydi. Söylemesi ayıp, ben yatılı okulda okudum. Bir çok muziplik yaptık küçükken ve bir çok muziplik de bizlere yapıldı. Kevin Bey tuvalete girince, bir eli bavullarında, bir eli de pantolonundayken kendisine ufak bir muziplik yapınca….. J neyse diyelim geçelim…
13)Güvenlik dünyasında en fazla kullandığınız yazılım hangi?
Ben genel geçer kullanılan kişisel bilgisayar koruma, izleme ve tarama amaçlı yazılım ve ürünler dışında, özel bir yazılım kullanmıyorum.
14)Bilgi güvenliğiyle ilgili hangi blog/sitelerin takibini önerirsiniz?
İşim gereği daha çok standartlar, düzenlemeler ve sorunlara ilişkin çözümler sunan, kurumsal bilgi güvenliği alanında yoğunlaşan siteler ve bir de özellikle güvenlik uzmanlığı ve danışmanlığı hakkında iş tanımı yapılan ilanları inceliyorum. ISACA web sitesi başta olmak üzere, audit.net, NIST, OGC, BrightTalk’un WebCast’leri, ITSM vb. siteleri takip ediyor, buralardan gelen bülten ve mesajları izliyorum.
15)Tekrar seçme şansınız olsaydı yine bilgi güvenliği alanını seçer miydiniz?
Seçerdim. Neden olmasın…
16)Bir güvenlikçinin en önemli özelliği size göre nedir?
Görünenle görünmeyen arasındaki farkı anlayabilecek sorular sorabilmesi, aklına gelen konularda neyi nereden bulabileceğini bilmesidir diyebilirim.
17)Bilgilerinizi ve tecrübelerinizi internet ortamında paylaşıyor musunuz? Neden?
Yeri geldikçe belli kurallara uyacak şekilde seve seve paylaşıyorum ama bunu sizler gibi düzenli hale getirmeyi de hedefliyorum.
18)Paylaştığınız şeylerin kötü amaçlı olarak kullanılması karşısında düşünceleriniz nelerdir?
Çok kızarım ama, dediğiniz gibi hangi amaca hizmet ettiğini de düşünerek uygun bir eylemde bulunurum.
Yakın geçmişte çok saygın ve asla konduramayacağınız bir kurumun, üzerinde her türlü uyarı ve yasal ibarelerin yer alıyor olmasına rağmen benim isteğim ve iznim dışında aylarca emek verdiğim çalışmaların büyük bir kısmını sorgusuz sualsiz ve başkası tarafından hazırlanmış gibi göstererek, ama kimi yerlerde kompozisyonu ve kullandığım renkleri bile değiştirmeye üşenerek internette yayınlamış olmasına çok üzüldüm. Biliyorum kanun var nizam var memlekette…
Ancak baktım ki bu bilgilerden direkt veya dolaylı olarak gerçekten faydalanan gençler var. Konu belli, içerik belli, amaç belli, varsın dedim böyle kalsın şimdilik. Ötesini ve bu kararın sonuçlarını zaman gösterecek diye düşünüyorum.
Bu röportaj için tekrar teşekkür ederim, benim için çok keyifli oldu. Umarım bülteninizi okuyan arkadaşlarıma ve meslektaşlarıma az da olsa bir şeyler katmıştır. Saygılarımla.
